ICS 35.030
CCS L70
YD
中 华 人 民 共 和 国 通 信 行 业 标 准
YD/T 4594—2023
网络空间安全仿真 试验环境隔离要求
Cybersecurity emulation——Experiment environment isolation requirements
2023-12-20发布 2024-04-01实施
中华人民共和国工业和信息化部 发 布
YD/T 4594—2023
目 次
前言……………………………………………………………………………………………………………………………………………………………………………………………………………… 。.Ⅲ
1 范围…………………………………………………………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………………………………… 1
3 术语和定义………………………………………………………………………………………………………………… 1
4 概述……………………………………………………………………………………………………………………………… 2
5 网络隔离…………………………………………………………………………………………………………………… 2
5.1 地址隔离……………………………………………………………………………………………………… 2
5.2 互联隔离……………………………………………………………………………………………………………… 2
6 接入控制……………………………………………………………………………………………………………………… 2
7 虚拟节点隔离…………………………………………………………………………………………………………… 3
8 数据隔离……………………………………………………………………………………………………………………… 3
9 安全管理…………………………………………………………………………………………………………… 3
YD/T 4594—2023
前 言
本文件按照GB/T1.1—2020《标准化工作导则 第一部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国通信标准化协会提出并归口。
本文件起草单位：北京邮电大学、广州大学网络空间先进技术研究院、鹏城实验室、中国信息通信研究院、中国民航信息网络股份有限公司哈尔滨工业大学、中电长城网际安全技术研究院（北京）有限公司。
本文件主要起草人：王东滨、智慧、李树栋、张伟哲、时金桥、崔宝江、张宇、田志宏、朱洪亮、陆月明、张勖、亓峰、郭少勇、左金鑫、谷勇浩、郭昆、鲁明明、赵辉。
Ⅲ
YD/T 4594—2023
网络空间安全仿真 试验环境隔离要求
1 范围
本文件规定了网络空间安全仿真试验环境在隔离方面的要求，包括网络隔离、接入控制、虚拟节点隔离、数据保护、安全防护、安全管理。
本文件适用于网络空间安全仿真试验环境建设和使用。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 31168—2014 信息安全技术 云计算服务安全能力要求
GB/T 35293—2017 信息技术 云计算 虚拟机管理通用要求
IETF RFC 1918 专用网地址分配(Address Allocation for Private Internets)
3 术语和定义
下列术语和定义适用于本文件。
3.1
网络空间安全仿真试验环境 experiment environment for cyberspace security emulation
网络空间安全仿真平台为每个试验任务提供的虚拟节点、网络、存储以及相应软件、硬件节点的运行环境。
3.2
网络空间安全仿真试验环境隔离 isolation of experiment environment for cyberspace security emulation
执行不同试验任务的网络空间安全仿真试验环境之间在物理上是连接的，但是在逻辑上不能以直接或间接的方式互相连通。
1
YD/T 4594—2023
4 概述
本文件规定了网络空间安全仿真试验环境的网络隔离、接入控制、虚拟节点隔离、数据保护、安全防护、安全管理，避免多个网络空间安全仿真试验之间互相干扰，对网络空间安全仿真试验的稳定运行提供重要支撑。
5 网络隔离
5.1 地址隔离
每个网络空间安全仿真试验环境可自动配置任意网络地址，包括IETF RFC 1918所规定的专用地址空间，同时，不同网络空间安全仿真试验环境配置的网络地址之间不会互相影响。
5.2 互联隔离
执行不同试验任务的网络空间安全仿真试验环境的网络之间实现相互隔离，无法实现互联互通。互联隔离应满足以下要求：
a） 属于同一网络空间安全仿真试验环境的不同虚拟节点、硬件节点之间能够互联互通；
b）属于不同网络空间安全仿真试验环境的虚拟节点、硬件节点之间不能互联互通；
c） 某一网络空间安全仿真试验环境中的广播报文不能够传输到其他网络空间安全仿真试验环境；
d）每个网络空间安全仿真试验环境使用的网络带宽不受其他网络空间安全仿真试验环境使用的网络带宽影响；
e） 网络空间安全仿真试验环境的虚拟节点、硬件节点不能与互联网连通。
6 接入控制
系统管理角色类管理员对网络空间安全仿真试验环境配置需进行认证和授权，对网络空间安全仿真试验环境的管理和配置需以带外方式进行，即应通过物理上或逻辑上与网络空间安全仿真试验环境相隔离的网络来管理和配置。
如果要对网络空间安全仿真试验环境网络以带内方式进行管理和配置，则需使用过滤器或防火墙技术，以便限制未经授权的带内数据流进入管理和配置接口，并确保带内管理和配置流量不影响网络空间安全仿真试验环境的网络带宽。
系统管理角色类管理员对网络空间安全仿真试验环境的管理和配置应采用安全的连接方式，并启用安全的加密认证机制。
2
YD/T 4594—2023
7 虚拟节点隔离
网络空间安全仿真试验环境的多个虚拟节点可以共享一台物理服务器的资源，但它们之间应该保持隔离，如同单独的物理服务器一样，虚拟节点隔离应满足以下要求：
a） 虚拟节点配置与管理应满足GB/T 35293—2017的相关规定；
b）应支持在单个物理服务器上创建多个虚拟节点，多个虚拟节点之间实现逻辑隔离，相当于不同物理服务器；
c） 同一虚拟节点或硬件节点只能属于某一个网络空间安全仿真试验环境，不能属于不同网络空间安全仿真试验环境；
d）在同一物理服务器上的虚拟节点之间处理器指令实现隔离；
e） 虚拟节点仅能访问授权的内存和存储，不能访问未授权的其他虚拟节点的内存和存储；
f） 应有安全隔离措施，控制物理服务器与其上创建的虚拟节点间的所有数据通信；
g）确保虚拟节点不能更改部署时的网络配置；
h）虚拟节点在部署时，要以带外方式拉取镜像，即应通过物理上或逻辑上与网络空间安全仿真试验环境相隔离的网络来访问管理，确保部署虚拟机时不影响网络空间安全仿真试验环境的网络带宽；
i） 某个虚拟节点启动、运行、关闭、被意外关闭或者系统崩溃时，其他虚拟节点的运行不受影响。
8 数据隔离
防止网络空间安全仿真试验环境出现数据泄露和非法访问，数据隔离应满足以下要求：
a） 使用者在远程对虚拟节点进行使用管理和配置时，以带外方式进行连接，并对会话信息进行加密保护；
b） 网络空间安全仿真试验环境的虚拟节点在释放内存、存储时，应进行完全清除后再分配给其他网络空间安全仿真试验环境使用；
c） 确保网络空间安全仿真试验环境的内存、存储只能被该环境的虚拟节点和硬件节点所访问；
d）确保存储数据的安全控制能够应用到逻辑和物理存储实体上，不会因数据在物理存储位置的改变而导致安全策略失效；
e） 网络空间安全仿真试验环境的数据在传送过程中不允许非授权离开该网络空间安全仿真试验环境，来自其他网络空间安全仿真试验环境的数据不允许非授权进入该网络空间安全仿真试验环境。
9 安全管理
a） 网络空间安全仿真试验环境的配置管理应满足GB/T 31168—2014的相关规定；
b） 网络空间安全仿真试验环境隔离失败后应有告警措施；
3
YD/T4594—2023
c） 网络空间安全仿真试验环境隔离失败后应有应急响应措施，应急响应措施启动后，应能恢复网络空间安全仿真试验环境的运行和隔离。
d） 对系统管理角色类、事件参与角色类、评估观摩角色类等网络空间安全仿真试验环境使用者设置不同的权限和进行访问控制，确保使用者只能在该权限下访问管理网络空间安全仿真试验环境。